JP3643087B2 - Communication network, router and distributed denial-of-service attack detection protection method - Google Patents

Communication network, router and distributed denial-of-service attack detection protection method Download PDF

Info

Publication number
JP3643087B2
JP3643087B2 JP2002091785A JP2002091785A JP3643087B2 JP 3643087 B2 JP3643087 B2 JP 3643087B2 JP 2002091785 A JP2002091785 A JP 2002091785A JP 2002091785 A JP2002091785 A JP 2002091785A JP 3643087 B2 JP3643087 B2 JP 3643087B2
Authority
JP
Japan
Prior art keywords
counting
function
tcp
alarm
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002091785A
Other languages
Japanese (ja)
Other versions
JP2003289337A (en
Inventor
公平 塩本
勝 片山
直明 山中
雅則 宇賀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002091785A priority Critical patent/JP3643087B2/en
Publication of JP2003289337A publication Critical patent/JP2003289337A/en
Application granted granted Critical
Publication of JP3643087B2 publication Critical patent/JP3643087B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明はIP通信網におけるDOS攻撃(Denial of Services attack)に対処するインターネットセキュリティ向上技術の分野に属する。
【0002】
【従来の技術】
分散型サービス拒絶攻撃(DDOSA:Distributed Denial of Services Attack)について、図7ないし図9を参照して説明する。図7は従来の通信網の概念図である。図8は3ウェイハンドシェークを説明するための図である。図9はTCP/IPパケットのフォーマットを示す図である。1〜4は外部通信網で、外部通信網1にはルータ10〜12が、外部通信網2にはルータ20〜22が、外部通信網3にはルータ30〜32が、外部通信網4にはルータ40〜42がそれぞれ属している。
【0003】
ボーダルータ44〜49が通信網5によりそれぞれ結ばれている。分散型サービス拒絶攻撃をしかける悪意のあるユーザは複数の分散したサイト端末13および23から外部通信網1内のルータ10および外部通信網2内のルータ20を経由して通信網5内のターゲットサーバ57に、TCP−SYN(コネクション確立要求)パケット攻撃を一斉にしかける。
【0004】
これらのTCP−SYNパケットがそれぞれ図8に示す3ウェイハンドシェークでTCPセッション確立を試み、この3ウェイハンドシェークのセッション途中で悪意のあるユーザのサイト端末13側あるいは23側がセッション放棄する。すなわち、図8において悪意のあるユーザのサイト端末13あるいは23は▲2▼のTCP−ACK(確認応答)+SYNパケットを受信しても▲3▼のTCP−ACKパケットを出さない。これによりターゲットサーバ57は、このTCP−ACKパケットの待ちの状態を続けるので、このようなTCP−SYNパケット攻撃を頻繁に多数受けるとターゲットサーバ57は過負荷状態に陥りサーバ機能が停止してしまう。
【0005】
TCPセッションの確立時におけるTCP−SYNパケットの働きおよびTCP/IPパケットのフォーマットの概要を以下に説明する。図9はTCP/IPパケットのフォーマット説明図である。TCP/IPパケットはIP通信網の基本的な通信手順であるTCPとIPのパケットであり、その詳しい構成がIPヘッダ(IP header)、TCPヘッダ(TCP header)として図9に示されている。IPヘッダは宛先のサーバやルータのアドレス(Destination Address:以下DAと略す)や発信元アドレス(Source Address:以下SAと略す)などを含む20Byteで構成され、TCPヘッダはSYN(コネクション確立要求(SYN=1))やACK(確認応答(ACK=1))などの制御フラグを含む20Byte(オプション無し)の構成である。
【0006】
図8の3ウェイハンドシェークによる通信確立を詳細に説明する。TCP/IPによるコネクションの確立はまずサイト端末13がTCP−SYNパケット(図9でSYN=1としたパケット)を送信先のターゲットサーバ57に送ると(図8の▲1▼)、ターゲットサーバ57はTCP−ACK+SYNパケット(図9でACK=1、SYN=1としたパケット)を送り返し(図8の▲2▼)、ここで端末が正常な端末であればTCP−ACKパケット(図9でACK=1としたパケット)を送り返し(図3の▲3▼)、この▲3▼の段階で“3ウェイハンドシェーク”が成立し、サイト端末13とターゲットサーバ57による通信が開始する段取りであるが、悪意のあるユーザのサイト端末13がTCP−SYNパケット攻撃をする場合には▲3▼TCP−ACKパケットを送り返さず、ターゲットサーバ57はこのパケット待ちの状態を続けるので、このようなTCP−SYNパケット攻撃を頻繁に多数受けるとターゲットサーバ57は過負荷状態に陥りサーバ機能が停止してしまう。
【0007】
【発明が解決しようとする課題】
このように、分散型サービス拒絶攻撃は、悪意のあるユーザが複数の分散したサイト端末を踏み台にし、特定のWebサーバに無数のTCPセッション確立を試みることで過負荷にする攻撃であり、TCPセッションの送信元が分散しているため、悪意のあるユーザのサイト端末を特定するのが困難であり、拒絶攻撃に対する対策を立てることも困難である。
【0008】
本発明は、このような背景に行われたものであって、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる通信網およびルータおよびプログラムおよび記録媒体および分散型サービス拒絶攻撃検出防御方法を提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明は、通信網における複数のボーダルータがTCP−SYNパケットを監視し、宛先毎にTCP−SYNパケットを計数および集計し、この集計結果を複数のボーダルータ相互間で交換することにより、これらのボーダルータを経由して当該通信網に流入するTCP−SYNパケットを監視し、同一宛先に対して異常な個数で流入するTCP−SYNパケットについては、これを分散型サービス拒絶攻撃を目的とするTCP−SYNパケットと判断してこの流入を抑制することを特徴とする。
【0010】
すなわち、本発明の第一の観点は、複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網であって、本発明の特徴とするところは、前記ボーダルータは、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、この監視する手段は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、この計数する手段の計数結果を他ボーダルータに通知する手段と、他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段とを備え、この集計する手段は、前記計数結果の所定時間内の増加率を検出する手段と、この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段とを備えたところにある。
【0011】
さらに、前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えることもできる。
【0012】
前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えることが望ましい。
【0013】
これにより、分散型サービス拒絶攻撃を行っている悪意のあるユーザのサイト端末が特定できれば、宛先アドレスによるTCP−SYNパケット流入抑制とともに送信元アドレスによる流入抑制も行えるため、宛先アドレスのみによる流入抑制と比較してより確実な流入抑制効果を期待することができる。
【0014】
例えば、宛先アドレスによるTCP−SYNパケットの流入抑制では、悪意のあるユーザのサイト端末以外の一般の端末からのTCP−SYNパケットも流入が抑制されてしまう可能性があるが、送信元アドレスによる流入抑制ができれば、悪意のあるユーザのサイト端末によるものとそうでないものとを区別して抑制することができる。さらに、このサイト端末のユーザに対して以後、このような行為を行わないように警告を送付することもできる。
【0015】
前記通知する手段および前記受け取る手段は、I−BGP(Internet-Border Gateway Protocol)を用いて前記計数結果を送受信する手段を備えることが望ましい。すなわち、TCP−IPはインターネット通信の基本である第3層、第4層に関する通信であるのに対し、I−BGPは動的経路プロトコルであり、AS(自立システム)内で使用する境界ゲートウェイプロトコルによる通信機能である。これにより、通常のデータ通信とは異なる独立した確実かつ速やかな通信を行うことができるので、分散型サービス拒絶攻撃を確実かつ速やかに検出して防御することができる。
【0016】
本発明の第二の観点はルータであって、本発明の特徴とするところは、外部通信網に接続され、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、この監視する手段は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、この計数する手段の計数結果を他ボーダルータに通知する手段と、他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段とを備え、この集計する手段は、前記計数結果の所定時間内の増加率を検出する手段と、この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段とを備えたところにある。
【0017】
前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えることもできる。
【0018】
前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えることが望ましい。
【0019】
前記通知する手段および前記受け取る手段は、I−BGPを用いて前記計数結果を送受信する手段を備えることが望ましい。
【0020】
本発明の第三の観点はプログラムであって、本発明の特徴とするところは、情報処理装置にインストールすることにより、その情報処理装置に、外部通信網に接続されたルータを制御する装置に相応する機能として、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する機能を実現させ、この監視する機能として、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する機能と、この計数する機能の計数結果を他ボーダルータに通知する機能と、他ボーダルータからの前記計数する機能の計数結果を受け取る機能と、この受け取る機能により受け取った他ボーダルータにおける計数結果および前記計数する機能による自ボーダルータの計数結果に基づき計数結果を集計する機能とを実現させ、この集計する機能として、前記計数結果の所定時間内の増加率を検出する機能と、この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能とを実現させるところにある。
【0021】
前記集計する機能として、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する機能を実現させ、前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させることもできる。
【0022】
前記警報を発出する機能から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する機能を実現させることが望ましい。
【0023】
前記通知する機能および前記受け取る機能として、I−BGPを用いて前記計数結果を送受信する機能を実現させることが望ましい。
【0024】
本発明の第四の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
【0025】
これにより、コンピュータ装置等の情報処理装置を用いて、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができるルータを備えた通信網を実現することができる。
【0026】
本発明の第五の観点は、複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網に適用される分散型サービス拒絶攻撃検出防御方法であって、本発明の特徴とするところは、前記ボーダルータにより、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視し、同一宛先アドレスを有するTCP−SYNパケットの個数を計数し、この計数結果を他ボーダルータに通知するとともに他ボーダルータからの計数結果を受け取り、この受け取った他ボーダルータにおける計数結果および自ボーダルータの計数結果に基づき計数結果を集計し、この計数結果の所定時間内の増加率を検出し、この検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出するところにある。
【0027】
集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定し、警報を発出する際には、この特定された送信元アドレスの情報を前記警報に書込むこともできる。
【0028】
発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制することが望ましい。
【0029】
前記ボーダルータ相互間では、I−BGPを用いて前記計数結果を送受信することが望ましい。
【0030】
【発明の実施の形態】
本発明実施例の通信網を図1ないし図6を参照して説明する。図1は本実施例の通信網の概念図である。図2は本実施例のボーダルータの機能構成図である。図3および図4は本実施例の異常パケット検出手順を示す図である。図5は本実施例のボーダルータの動作を示すフローチャートである。図6は本実施例の図1より多くの攻撃地点を有する通信網の概念図である。
【0031】
本実施例は、図1に示すように、複数の外部通信網1〜4にそれぞれ接続された複数のボーダルータ51〜56を備えた通信網5であって、本実施例の特徴とするところは、ボーダルータ51〜56は、図2に示すように、自通信網5に流入するコネクション確立要求を含むTCP−SYNパケットを監視する分散型サービス拒絶攻撃検出防御部515を備え、この分散型サービス拒絶攻撃検出防御部515は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する流入TCP−SYNパケット計数機能511と、この流入TCP−SYNパケット計数機能511の計数結果を他ボーダルータに通知するとともに、他ボーダルータからの流入TCP−SYNパケット計数機能511による前記計数結果を受け取るI−BGP通信機能513と、このI−BGP通信機能513により受け取った他ボーダルータにおける計数結果および流入TCP−SYNパケット計数機能511による自ボーダルータの計数結果に基づき計数結果を集計する流入パケット異常判定機能512とを備え、この流入パケット異常判定機能512は、前記計数結果の所定時間内の増加率を検出し、この検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出するところにある。
【0032】
また、悪意のあるユーザのサイト端末が他の端末に成り代わっていない場合には、流入パケット異常判定機能512は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定することができ、当該特定された送信元アドレスの情報を前記警報に書込むことができる。
【0033】
ルータ基本機能510は、流入パケット異常判定機能512から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する。
【0034】
また、I−BGP通信機能513は、I−BGPを用いて前記計数結果を送受信する。
【0035】
以下では、本実施例をさらに詳細に説明する。
【0036】
本実施例の通信網5は、図1に示すように、ボーダルータ51〜56が通信網5に流入するTCP−SYNパケットをモニタし、宛先毎のTCP−SYNパケットを計数および集計し、全ボーダルータ51〜56はTCP−SYNパケットの前記集計の結果としての情報をI−BGPを用いて相互に交換通知しあい、悪意呼であるTCP−SYNパケットが異常に流入すると判明したボーダルータ51および52は送信元のサイト端末13および23からのターゲットサーバ57宛のTCP−SYNパケットの流入量を抑制するかあるいは全て廃棄することでターゲットサーバ57は過負荷の状態から解放される。
【0037】
図2に示すように、ルータ基本機能510は、IPパケットを宛先ホストに届けるための中継(ルーティング)機能をはじめ各種ネットワーク層(第3層)プロトコルに対応したマルチプロトコル機能を含んでいる。また、本実施例では、流入パケット異常判定機能512から発出される警報に基づき、TCP−SYNパケットを廃棄する機能も備えている。
【0038】
流入TCP−SYNパケット計数機能511はTCP−SYNパケットの送信元IPアドレス、宛先IPアドレス、情報量、時刻に対応して当該パケット数を計数する。また、流入パケット異常判定機能512は、流入TCP−SYNパケット計数機能511の計数結果を時系列的に比較して単位時間当りの集計データが正常かあるいは異常かを判定する。例えば、単位時間Δt当り増加率が100倍になれば異常と判定する。
【0039】
TCP−IP通信機能514はインターネット通信の基本である第3層、第4層に関する通信機能である。また、I−BGP通信機能513は動的経路プロトコルであり、AS(自立システム)内で使用する境界ゲートウェイプロトコルによる通信機能である。
【0040】
各ボーダルータ51〜56は通信網5に流入する全てのTCP−SYNパケットを監視しており、その監視の結果、例えば、ボーダルータ51が悪意のあるユーザのサイト端末13からの宛先がターゲットサーバ57であるTCP−SYNパケットが単位時間Δt当り増加率で100倍になり異常に多いと判定した場合には、当該パケットの例えば99%を破棄し、またボーダルータ52が悪意のあるユーザのサイト端末23からの宛先がターゲットサーバ57であるTCP−SYNパケットが異常に多いと判定した場合には、当該パケットの例えば99%を破棄する。このようにしてターゲットサーバ57が過負荷に陥ることを未然に防止できる。
【0041】
ボーダルータ51によるTCP−SYNパケットの監視は自らの流入TCP−SYNパケット計数機能511によるデータ分とI−BGP通信機能513により他のボーダルータ52〜56からI−BGP動的経路プロトコルを用いて入手したデータ分とがあり、この両データ分を併せて流入パケット異常判定機能512で異常判定を行う。
【0042】
図3および図4は異常パケット検出手順を示している。図3の例では、まず、流入TCP−SYNパケット計数機能511により、TCP flagでSYN=1のTCP−SYNパケットを抽出し、パケットヘッダのDA(宛先IPアドレス)を引き出してエントリに追加し、そのエントリにマッチしたもの毎にカウントアップする。続いて、流入パケット異常判定機能512により、SYNパケットが集中している特定のDAを見つけ出す。図4の例では、TCP−SYNパケットが集中したDA=218.60.32.1のパケットのリストアップ状況が示され、集中しているこのDAのリスト表上でさらに、SA(送信元IPアドレス)毎に仕分けし、送信元の特定をする。このようにしてターゲットサーバがDA=218.60.32.1であり、悪意のあるユーザのサイト端末のSAが判明する。
【0043】
DDOSが巧妙な場合はSA毎の仕分けは困難な場合がある。例えば悪意のあるユーザのサイト端末13が他の外部通信網2〜3内の端末のIPアドレスを盗用して成り代わり端末攻撃をする場合にはSA毎の仕分けは無意味となる。
【0044】
図5は本実施例のボーダルータの動作を示すフローチャートである。
【0045】
ステップ1:各ボーダルータ51〜56において流入するTCP−SYNパケットを流入TCP−SYNパケット計数機能511がモニタし、DAのリストを作成して計数する(図3)。モニタ計数時間は時刻(T0+nΔt)から時刻(T0+(n+1)Δt)とする(n=0,1,2,3,…)
ステップ2:各ボーダルータの流入TCP−SYNパケット計数機能511は集中しているDAのリスト上でSA毎に仕分け計数する(図4)
ステップ3:時刻(T0+nΔt)からの単位時間Δtの計数情報としてステップ2の出力リストの上位5位および増加率上位5位のDAおよびSA情報をI−BGP通信機能513により、それぞれ他のボーダルータに通知する
ステップ4:各ボーダルータ毎に流入TCP−SYNパケット計数機能511はステップ2の出力情報とステップ3の出力情報とから時刻(T0+nΔt)のΔtの単位時間の間に全ボーダルータから流入したTCP−SYNパケットにつき、SAのIPアドレス、DAのIPアドレス、情報量、時刻に対応して当該パケット数を計数し、流入パケット異常判定機能512は、単位時間Δt当りの増加パケット数を集計してランクアップする
ステップ5:流入パケット異常判定機能512により、単位時間当りの増加率が例えば100倍になるSAまたはDAがあるかを判定する。“ある”場合はステップ6へ、“なし”の場合はステップ4へ
ステップ6:単位時間当りの増加率が100倍になるSAまたはDAを有するTCP−SYNパケットが流入するボーダルータのルータ基本機能510は流入量を抑制あるいはこのパケットを全パケット廃棄する
このようにして悪意呼によるターゲットサーバ57の過負荷を防ぐことが可能となる。
【0046】
また、図6に示すように、悪意のあるユーザのサイト端末はサイト端末13、23に加えてサイト端末33、43と多くの地点からターゲットサーバ57を攻撃する場合は、宛先IPアドレスがターゲットサーバ57である悪意呼のTCP−SYNパケットが多く検出されるのは、ボーダルータ51、52、54、55であるという判定が各ボーダルータ51〜56でなされ、この宛先IPアドレスがターゲットサーバ57である悪意呼のTCP−SYNパケットは例えば99%が各ボーダルータ51、52、54、55にて破棄され、ターゲットサーバ57は過負荷を免れる。
【0047】
本実施例のボーダルータ51〜56を制御する装置は情報処理装置であるコンピュータ装置を用いて実現することができる。すなわち、コンピュータ装置にインストールすることにより、そのコンピュータ装置に、外部通信網1〜4に接続されたボーダルータ51〜56を制御する装置に相応する機能として、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する分散型サービス拒絶攻撃検出防御部515に相応する機能を実現させ、この分散型サービス拒絶攻撃検出防御部515に相応する機能として、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する流入TCP−SYNパケット計数機能511と、この流入TCP−SYNパケット計数機能511の計数結果を他ボーダルータに通知するとともに、他ボーダルータからの流入TCP−SYNパケット計数機能511の計数結果を受け取るI−BGP通信機能513と、このI−BGP通信機能513により受け取った他ボーダルータにおける計数結果および流入TCP−SYNパケット計数機能511による自ボーダルータの計数結果に基づき計数結果を集計する流入パケット異常判定機能512とを実現させ、この流入パケット異常判定機能512として、前記計数結果の所定時間内の増加率を検出する機能と、この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能と、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する機能とを実現させ、前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させ、さらに、前記警報を発出する機能から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する機能を実現させ、さらに、I−BGP通信機能513として、I−BGPを用いて前記計数結果を送受信する機能を実現させるプログラムをコンピュータ装置にインストールすることにより、そのコンピュータ装置を本実施例のボーダルータ51〜56を制御する装置に相応する装置とすることができる。
【0048】
本実施例のプログラムは本実施例の記録媒体に記録されることにより、コンピュータ装置は、この記録媒体を用いて本実施例のプログラムをインストールすることができる。あるいは、本実施例のプログラムを保持するサーバからネットワークを介して直接コンピュータ装置に本実施例のプログラムをインストールすることもできる。
【0049】
これにより、コンピュータ装置を用いて、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができるボーダルータ51〜56を備えた通信網5を実現することができる。
【0050】
(実施例まとめ)
EC(Electric Commerce)が発展するにつれて、Webサイトの保護はセキュリティの観点から今後ますます重要となる。本実施例によれば分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の通信網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる。
【0051】
【発明の効果】
以上説明したように、本発明によれば、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる。
【図面の簡単な説明】
【図1】本実施例の通信網の概念図。
【図2】本実施例のボーダルータの機能構成図。
【図3】本実施例の異常パケット検出手順を示す図。
【図4】本実施例の異常パケット検出手順を示す図。
【図5】本実施例のボーダルータの動作を示すフローチャート。
【図6】本実施例の図1より多くの攻撃地点を有する通信網の概念図。
【図7】従来の通信網の概念図。
【図8】3ウェイハンドシェークを説明するための図。
【図9】TCP/IPパケットのフォーマットを示す図。
【符号の説明】
1〜4 外部通信網
5 通信網
10〜12、20〜22、30〜32、40〜42 ルータ
13、23、33、43 サイト端末
44〜49、51〜56 ボーダルータ
57 ターゲットサーバ
510 ルータ基本機能
511 流入TCP−SYNパケット計数機能
512 流入パケット異常判定機能
513 I−BGP通信機能
514 TCP−IP通信機能
515 分散型サービス拒絶攻撃検出防御部[0001]
BACKGROUND OF THE INVENTION
The present invention belongs to the field of Internet security improvement technology that copes with a DOS attack (Denial of Services attack) in an IP communication network.
[0002]
[Prior art]
A distributed denial of service attack (DDOSA) will be described with reference to FIGS. FIG. 7 is a conceptual diagram of a conventional communication network. FIG. 8 is a diagram for explaining the 3-way handshake. FIG. 9 is a diagram showing a format of a TCP / IP packet. 1 to 4 are external communication networks, the external communication network 1 includes routers 10 to 12, the external communication network 2 includes routers 20 to 22, the external communication network 3 includes routers 30 to 32, and the external communication network 4 includes , Routers 40 to 42 belong to each.
[0003]
Border routers 44 to 49 are connected by the communication network 5. A malicious user who makes a distributed denial-of-service attack is a target server in the communication network 5 from a plurality of distributed site terminals 13 and 23 via the router 10 in the external communication network 1 and the router 20 in the external communication network 2. 57, TCP-SYN (connection establishment request) packet attacks are applied all at once.
[0004]
Each of these TCP-SYN packets tries to establish a TCP session by the 3-way handshake shown in FIG. 8, and the site terminal 13 or 23 side of the malicious user abandons the session during the 3-way handshake session. That is, in FIG. 8, even if the site terminal 13 or 23 of the malicious user receives the TCP-ACK (acknowledgment response) + SYN packet (2), it does not issue the TCP-ACK packet (3). As a result, the target server 57 continues to wait for this TCP-ACK packet. Therefore, if a large number of such TCP-SYN packet attacks are frequently received, the target server 57 falls into an overload state and the server function stops. .
[0005]
An outline of the function of the TCP-SYN packet and the format of the TCP / IP packet when establishing a TCP session will be described below. FIG. 9 is an explanatory diagram of the format of a TCP / IP packet. TCP / IP packets are TCP and IP packets, which are basic communication procedures of an IP communication network, and their detailed configurations are shown in FIG. 9 as an IP header (TCP header) and a TCP header (TCP header). The IP header is composed of 20 bytes including a destination server or router address (Destination Address: hereinafter abbreviated as DA), a source address (Source Address: hereinafter abbreviated as SA), and the TCP header is SYN (connection establishment request (SYN). = 1)) and ACK (acknowledgment response (ACK = 1)) and other control flags including 20 bytes (no option).
[0006]
Communication establishment by the 3-way handshake in FIG. 8 will be described in detail. To establish a connection by TCP / IP, first, when the site terminal 13 sends a TCP-SYN packet (a packet in which SYN = 1 in FIG. 9) to the destination target server 57 ((1) in FIG. 8), the target server 57 Sends back a TCP-ACK + SYN packet (packet with ACK = 1 and SYN = 1 in FIG. 9) ((2) in FIG. 8). If the terminal is a normal terminal, a TCP-ACK packet (ACK in FIG. 9) = 1 packet) is sent back ((3) in FIG. 3), and in this stage (3), “3-way handshake” is established, and communication between the site terminal 13 and the target server 57 starts. When the malicious user's site terminal 13 performs a TCP-SYN packet attack, (3) the TCP-ACK packet is not sent back and the target server Since 57 continues the state of this packet waiting, such TCP-SYN packet frequently receives a large number of attacks the target server 57 server function falls into an overload state will be stopped.
[0007]
[Problems to be solved by the invention]
Thus, the distributed denial-of-service attack is an attack in which a malicious user overloads a plurality of distributed site terminals as a stepping stone and attempts to establish countless TCP sessions with a specific Web server. Since the transmission sources of the user are distributed, it is difficult to identify a malicious user's site terminal, and it is also difficult to take measures against a rejection attack.
[0008]
The present invention has been implemented against this background, and detects advanced attacks from malicious users such as distributed denial-of-service attacks to limit or stop malicious calls from entering the network. It is an object of the present invention to provide a communication network, a router, a program, a recording medium, and a distributed denial-of-service denial-of-service detection and protection method that can avoid the target server from being overloaded by taking an appropriate action.
[0009]
[Means for Solving the Problems]
In the present invention, a plurality of border routers in a communication network monitor TCP-SYN packets, count and aggregate TCP-SYN packets for each destination, and exchange these aggregation results among the plurality of border routers. TCP-SYN packets flowing into the communication network via the border router of the same are monitored, and TCP-SYN packets that flow in an abnormal number for the same destination are used for distributed denial-of-service attacks. This inflow is suppressed by judging that the packet is a TCP-SYN packet.
[0010]
That is, a first aspect of the present invention is a communication network including a plurality of border routers respectively connected to a plurality of external communication networks. The feature of the present invention is that the border router A means for monitoring TCP-SYN packets including a connection establishment request flowing into the network; the means for monitoring includes means for counting the number of TCP-SYN packets having the same destination address; and a counting result of the means for counting , A means for receiving the counting result of the counting means from the other border router, a counting result in the other border router received by the receiving means, and a count of the own border router by the counting means Means for counting the counting results based on the results, and the counting means is a rate of increase of the counting results within a predetermined time. Means for detecting the detection result of means for the detection when exceeding the threshold value is in place and means for issuing an alarm containing information of the same destination address.
[0011]
Furthermore, the means for counting includes means for specifying a source address of a TCP-SYN packet having the same destination address that has been counted, and the means for issuing the alarm has a detection result of the detecting means exceeding a threshold value. In some cases, a means for writing the information of the transmission source address specified by the specifying means in the alarm can be provided.
[0012]
It is desirable to provide means for suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm based on the alarm issued from the means for issuing the alarm into the communication network.
[0013]
As a result, if the site terminal of a malicious user performing a distributed denial-of-service attack can be identified, the inflow suppression by the source address as well as the TCP-SYN packet inflow suppression by the destination address can be performed. In comparison, a more reliable inflow suppression effect can be expected.
[0014]
For example, inflow suppression of TCP-SYN packets by destination address may suppress inflow of TCP-SYN packets from general terminals other than the malicious user's site terminal, but inflow by source address If it can be suppressed, it is possible to distinguish between a malicious user's site terminal and a non-malicious user's site terminal. Further, a warning can be sent to the user of the site terminal so as not to perform such an action.
[0015]
It is preferable that the notifying means and the receiving means include means for transmitting and receiving the counting result using I-BGP (Internet-Border Gateway Protocol). That is, TCP-IP is communication related to the third and fourth layers, which are the basics of Internet communication, whereas I-BGP is a dynamic route protocol, and is a boundary gateway protocol used in an AS (independent system). It is a communication function by. This makes it possible to perform reliable and quick independent communication different from normal data communication, so that it is possible to reliably and promptly detect and prevent a distributed service denial attack.
[0016]
A second aspect of the present invention is a router, and the present invention is characterized by comprising means for monitoring a TCP-SYN packet connected to an external communication network and including a connection establishment request flowing into the local communication network. The monitoring means includes means for counting the number of TCP-SYN packets having the same destination address, means for notifying the counting result of the counting means to another border router, and means for counting from the other border router. Means for receiving the counting results of the first and second border routers received by the receiving means and means for counting the counting results based on the counting results of the own border router by the counting means, the counting means comprising: Means for detecting an increase rate of the counting result within a predetermined time, and when the detection result of the detecting means exceeds a threshold, It is in place and means for issuing an alarm including information of the destination address.
[0017]
The means for counting includes means for specifying a source address of a TCP-SYN packet having the same destination address that has been counted, and the means for issuing an alarm is configured when the detection result of the detecting means exceeds a threshold value. Means for writing the information of the source address specified by the specifying means in the alarm may be provided.
[0018]
It is desirable to provide means for suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm based on the alarm issued from the means for issuing the alarm into the communication network.
[0019]
The notifying means and the receiving means preferably include means for transmitting and receiving the counting result using I-BGP.
[0020]
A third aspect of the present invention is a program, and the feature of the present invention is that it is installed in an information processing apparatus so that the information processing apparatus is controlled by a router connected to an external communication network. As a corresponding function, a function of monitoring a TCP-SYN packet including a connection establishment request flowing into the local communication network is realized, and as a function of monitoring, a function of counting the number of TCP-SYN packets having the same destination address; A function for notifying the other border router of the counting result of the counting function, a function for receiving the counting result of the counting function from the other border router, a counting result in the other border router received by the receiving function, and the counting This function implements a function that counts the counting results based on the counting results of the own border router. As a function of measuring, a function of detecting an increase rate of the counting result within a predetermined time and a function of issuing an alarm including information on the same destination address when the detection result of the detecting function exceeds a threshold value are realized. By the way.
[0021]
As a function of summing up, when realizing a function of specifying a source address of a TCP-SYN packet having the same summed destination address, and issuing a warning, when a detection result of the function to be detected exceeds a threshold value It is also possible to realize a function of writing information of a transmission source address specified by the specified function in the alarm.
[0022]
It is desirable to realize a function of suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm to the communication network based on the alarm issued from the function of issuing the alarm. .
[0023]
As the function of notifying and the function of receiving, it is desirable to realize a function of transmitting and receiving the counting result using I-BGP.
[0024]
A fourth aspect of the present invention is the information processing apparatus-readable recording medium on which the program of the present invention is recorded. By recording the program of the present invention on the recording medium of the present invention, the information processing apparatus can install the program of the present invention using this recording medium. Alternatively, the program of the present invention can be directly installed in the information processing apparatus via a network from a server holding the program of the present invention.
[0025]
This makes it possible to detect sophisticated attacks from malicious users such as distributed denial-of-service attacks using information processing devices such as computer devices, and to perform appropriate actions such as limiting or stopping malicious calls from entering the network. Therefore, it is possible to realize a communication network including a router that can avoid the target server from being overloaded.
[0026]
A fifth aspect of the present invention is a distributed denial-of-service attack detection protection method applied to a communication network including a plurality of border routers respectively connected to a plurality of external communication networks, and is a feature of the present invention. However, the border router monitors TCP-SYN packets including a connection establishment request flowing into the local communication network, counts the number of TCP-SYN packets having the same destination address, and sends the count result to other border routers. Notify and receive counting results from other border routers, count the counting results based on the received counting results in other border routers and the counting results of the own border router, and detect the rate of increase of the counting results within a predetermined time When the detection result exceeds a threshold value, an alarm including information on the same destination address is issued.
[0027]
When a transmission source address of a TCP-SYN packet having the same destination address is specified and an alarm is issued, information on the specified transmission source address can be written in the alarm.
[0028]
It is desirable to suppress the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm based on the issued alarm to the communication network.
[0029]
It is desirable to transmit / receive the count result between the border routers using I-BGP.
[0030]
DETAILED DESCRIPTION OF THE INVENTION
A communication network according to an embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a conceptual diagram of a communication network according to this embodiment. FIG. 2 is a functional configuration diagram of the border router of this embodiment. 3 and 4 are diagrams showing the abnormal packet detection procedure of this embodiment. FIG. 5 is a flowchart showing the operation of the border router of this embodiment. FIG. 6 is a conceptual diagram of a communication network having more attack points than FIG. 1 of the present embodiment.
[0031]
As shown in FIG. 1, the present embodiment is a communication network 5 including a plurality of border routers 51 to 56 connected to a plurality of external communication networks 1 to 4, respectively. As shown in FIG. 2, the border routers 51 to 56 include a distributed denial-of-service attack detection protection unit 515 that monitors a TCP-SYN packet including a connection establishment request flowing into the local communication network 5. The denial-of-service attack detection protection unit 515 counts the number of TCP-SYN packets having the same destination address, and counts the inflow TCP-SYN packet count function 511 to the other border router. I-BGP communication that receives the count result from the incoming TCP-SYN packet count function 511 from another border router. A function 513, and an inflow packet abnormality determination function 512 that counts the counting results based on the counting result in the other border router received by the I-BGP communication function 513 and the counting result of the own border router by the inflow TCP-SYN packet counting function 511; The inflow packet abnormality determination function 512 detects an increase rate of the counting result within a predetermined time, and issues an alarm including the information of the same destination address when the detection result exceeds a threshold value.
[0032]
In addition, when the malicious user's site terminal is not impersonating another terminal, the incoming packet abnormality determination function 512 specifies the source address of the TCP-SYN packet having the same destination address that has been aggregated. The information of the specified source address can be written in the alarm.
[0033]
Based on the alarm issued from the inflow packet abnormality determination function 512, the router basic function 510 suppresses the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm to the communication network.
[0034]
The I-BGP communication function 513 transmits / receives the counting result using I-BGP.
[0035]
Hereinafter, this embodiment will be described in more detail.
[0036]
In the communication network 5 of this embodiment, as shown in FIG. 1, the border routers 51 to 56 monitor TCP-SYN packets flowing into the communication network 5, count and aggregate the TCP-SYN packets for each destination, The border routers 51 to 56 mutually exchange information as a result of the aggregation of the TCP-SYN packets using I-BGP, and the border routers 51 and 51 that have been found that the malicious TCP-SYN packet flows abnormally. The target server 57 is released from the overload state by suppressing the inflow amount of TCP-SYN packets addressed to the target server 57 from the source site terminals 13 and 23 or discarding all.
[0037]
As shown in FIG. 2, the router basic function 510 includes a multi-protocol function corresponding to various network layer (third layer) protocols including a relay (routing) function for delivering an IP packet to a destination host. In this embodiment, a TCP-SYN packet discard function is also provided based on an alarm issued from the incoming packet abnormality determination function 512.
[0038]
The inflow TCP-SYN packet counting function 511 counts the number of packets corresponding to the source IP address, destination IP address, information amount, and time of the TCP-SYN packet. The inflow packet abnormality determining function 512 compares the counting results of the inflow TCP-SYN packet counting function 511 in time series to determine whether the aggregated data per unit time is normal or abnormal. For example, if the increase rate per unit time Δt becomes 100 times, it is determined as abnormal.
[0039]
The TCP-IP communication function 514 is a communication function related to the third layer and the fourth layer, which are the basics of Internet communication. The I-BGP communication function 513 is a dynamic route protocol, and is a communication function based on a boundary gateway protocol used in an AS (independent system).
[0040]
Each of the border routers 51 to 56 monitors all TCP-SYN packets flowing into the communication network 5, and as a result of the monitoring, for example, the destination from the site terminal 13 of the malicious user is the target router of the border router 51. If it is determined that the TCP-SYN packet number 57 is an abnormally large number with an increase rate of 100 times per unit time Δt, for example, 99% of the packet is discarded, and the border router 52 has a malicious user site. If it is determined that the number of TCP-SYN packets whose destination from the terminal 23 is the target server 57 is abnormally large, for example, 99% of the packets are discarded. In this way, it is possible to prevent the target server 57 from being overloaded.
[0041]
The TCP-SYN packet is monitored by the border router 51 by using the I-BGP dynamic route protocol from the other border routers 52 to 56 by the inflow TCP-SYN packet counting function 511 and the I-BGP communication function 513. The acquired data is included, and both of the data are combined and the inflow packet abnormality determination function 512 determines the abnormality.
[0042]
3 and 4 show an abnormal packet detection procedure. In the example of FIG. 3, first, the TCP-SYN packet counting function 511 extracts the TCP-SYN packet with SYN = 1 by the TCP flag, extracts the DA (destination IP address) of the packet header, adds it to the entry, Count up for each entry that matches. Subsequently, the inflow packet abnormality determination function 512 finds a specific DA in which SYN packets are concentrated. In the example of FIG. 4, a list of DA = 218.60.32.1 packets in which TCP-SYN packets are concentrated is shown, and the SA (source IP) is further displayed on the concentrated DA list table. Sort by address) and identify the sender. In this way, the target server is DA = 218.60.32.1, and the SA of the malicious user's site terminal is determined.
[0043]
When DDOS is clever, sorting by SA may be difficult. For example, when a malicious user's site terminal 13 steals an IP address of a terminal in another external communication network 2 to 3 and performs a terminal attack instead, the sorting for each SA becomes meaningless.
[0044]
FIG. 5 is a flowchart showing the operation of the border router of this embodiment.
[0045]
Step 1: The incoming TCP-SYN packet counting function 511 monitors the incoming TCP-SYN packets in the border routers 51 to 56, and creates and counts a DA list (FIG. 3). The monitor counting time is from time (T0 + nΔt) to time (T0 + (n + 1) Δt) (n = 0, 1, 2, 3,...)
Step 2: The incoming TCP-SYN packet counting function 511 of each border router sorts and counts for each SA on the concentrated DA list (FIG. 4).
Step 3: As the count information of unit time Δt from time (T0 + nΔt), DA and SA information of the top 5 and the top 5 rates of increase in the output list of Step 2 are respectively sent to other border routers by the I-BGP communication function 513. Notify
Step 4: The inflow TCP-SYN packet counting function 511 for each border router receives the TCP-flow from all border routers during the unit time of Δt at time (T0 + nΔt) from the output information of Step 2 and the output information of Step 3. For each SYN packet, the number of packets corresponding to the SA IP address, DA IP address, information amount, and time is counted, and the inflow packet abnormality determination function 512 counts the number of increased packets per unit time Δt to rank Up
Step 5: The inflow packet abnormality determination function 512 determines whether there is an SA or DA whose rate of increase per unit time is 100 times, for example. If “Yes”, go to Step 6. If “No”, go to Step 4.
Step 6: The router basic function 510 of the border router into which the TCP-SYN packet having SA or DA in which the rate of increase per unit time increases 100 times suppresses the inflow amount or discards all the packets.
In this way, it is possible to prevent an overload of the target server 57 due to a malicious call.
[0046]
In addition, as shown in FIG. 6, when a malicious user's site terminal attacks the target server 57 from many points with the site terminals 33 and 43 in addition to the site terminals 13 and 23, the destination IP address is the target server. It is determined that each of the border routers 51 to 56 determines that the TCP-SYN packets of malicious calls 57 are detected by the border routers 51, 52, 54, and 55. For example, 99% of the TCP-SYN packet of a malicious call is discarded by each border router 51, 52, 54, 55, and the target server 57 is free from overload.
[0047]
A device for controlling the border routers 51 to 56 of the present embodiment can be realized by using a computer device which is an information processing device. That is, by installing in the computer device, a connection establishment request flowing into the local communication network is sent to the computer device as a function corresponding to the device that controls the border routers 51 to 56 connected to the external communication networks 1 to 4. A function corresponding to the distributed denial-of-service attack detection and protection unit 515 for monitoring the included TCP-SYN packet is realized, and as a function corresponding to the distributed type denial-of-service attack detection and protection unit 515, a TCP-SYN packet having the same destination address Inflow TCP-SYN packet counting function 511 for counting the number of packets, and the inflow TCP-SYN packet counting function 511 from other border routers are notified of the counting result of the inflow TCP-SYN packet counting function 511 to the other border router. I-BGP communication function 5 to receive counting results 3 and an inflow packet abnormality determination function 512 that counts the counting results based on the counting result in the other border router received by the I-BGP communication function 513 and the counting result of the own border router by the inflow TCP-SYN packet counting function 511. As an inflow packet abnormality determination function 512, a function for detecting an increase rate of the counting result within a predetermined time and an alarm including information on the same destination address when the detection result of the function to detect exceeds a threshold value. When the detection result of the function to be detected exceeds a threshold as a function of realizing the function to issue and the function of specifying the source address of the TCP-SYN packet having the same destination address that has been aggregated and issuing the alarm Write the source address information specified by the specified function in the alarm. And further suppresses the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network based on the alarm issued from the function of issuing the alarm. In addition, by installing a program for realizing the function of transmitting and receiving the counting result using I-BGP as the I-BGP communication function 513 in the computer apparatus, the computer apparatus is It can be set as the apparatus corresponding to the apparatus which controls the border routers 51-56.
[0048]
By recording the program of the present embodiment on the recording medium of the present embodiment, the computer apparatus can install the program of the present embodiment using this recording medium. Alternatively, the program of this embodiment can be directly installed on the computer device from the server holding the program of this embodiment via the network.
[0049]
This makes it possible to use computer devices to detect sophisticated attacks from malicious users such as distributed denial of service attacks and take appropriate actions such as restricting or stopping malicious calls from entering the network. The communication network 5 including the border routers 51 to 56 that can avoid the server from being overloaded can be realized.
[0050]
(Example summary)
As EC (Electric Commerce) develops, the protection of websites will become increasingly important from the viewpoint of security. According to the present embodiment, the target server can detect a sophisticated attack from a malicious user such as a distributed denial of service attack and take an appropriate action such as restricting or stopping the inflow of a malicious call to the communication network. You can avoid being overloaded.
[0051]
【The invention's effect】
As described above, according to the present invention, a sophisticated attack from a malicious user such as a distributed denial-of-service attack is detected, and an appropriate action is taken such as limiting or stopping malicious network inflow. As a result, the target server can be avoided from being overloaded.
[Brief description of the drawings]
FIG. 1 is a conceptual diagram of a communication network according to an embodiment.
FIG. 2 is a functional configuration diagram of a border router according to the present embodiment.
FIG. 3 is a diagram illustrating an abnormal packet detection procedure according to the embodiment.
FIG. 4 is a diagram illustrating an abnormal packet detection procedure according to the embodiment.
FIG. 5 is a flowchart showing the operation of the border router of this embodiment.
6 is a conceptual diagram of a communication network having more attack points than FIG. 1 of the present embodiment.
FIG. 7 is a conceptual diagram of a conventional communication network.
FIG. 8 is a diagram for explaining a 3-way handshake.
FIG. 9 is a diagram showing a format of a TCP / IP packet.
[Explanation of symbols]
1-4 External communication network
5 communication network
10-12, 20-22, 30-32, 40-42 router
13, 23, 33, 43 Site terminal
44-49, 51-56 Border Router
57 Target server
510 Basic router functions
511 Inflow TCP-SYN packet counting function
512 Inflow packet error judgment function
513 I-BGP communication function
514 TCP-IP communication function
515 Distributed Service Denial-of-Service Attack Detection and Defense Unit

Claims (17)

複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網において、
前記ボーダルータは、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、
この監視する手段は、
同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、
この計数する手段の計数結果を他ボーダルータに通知する手段と、
他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、
この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段と
を備え、
この集計する手段は、
前記計数結果の所定時間内の増加率を検出する手段と、
この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段と
を備えたことを特徴とする通信網。In a communication network having a plurality of border routers connected to a plurality of external communication networks,
The border router includes means for monitoring a TCP-SYN packet including a connection establishment request flowing into the local communication network,
This means of monitoring is
Means for counting the number of TCP-SYN packets having the same destination address;
Means for notifying other border routers of the counting results of the counting means;
Means for receiving a counting result of the counting means from another border router;
Means for counting the counting results based on the counting result in the other border router received by the receiving means and the counting result of the own border router by the counting means;
This means of aggregation is
Means for detecting an increase rate of the counting result within a predetermined time;
And a means for issuing an alarm including information on the same destination address when a detection result of the means for detecting exceeds a threshold value. 前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、
前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えた
請求項1記載の通信網。The means for counting comprises means for specifying a source address of a TCP-SYN packet having the same destination address that has been tabulated,
2. The communication network according to claim 1, wherein the means for issuing the alarm comprises means for writing information of a transmission source address specified by the specifying means into the alarm when a detection result of the detecting means exceeds a threshold value. . 前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えた請求項1または2記載の通信網。2. A means for suppressing an inflow of a TCP-SYN packet having the same destination address or the source address included in the alarm based on the alarm issued from the means for issuing the alarm into the communication network. Or the communication network of 2. 前記通知する手段および前記受け取る手段は、I−BGP(Internet-Border Gateway Protocol)を用いて前記計数結果を送受信する手段を備えた請求項1記載の通信網。2. The communication network according to claim 1, wherein said notifying means and said receiving means comprise means for transmitting and receiving said counting result using I-BGP (Internet-Border Gateway Protocol). 外部通信網に接続され、
自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、
この監視する手段は、
同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、
この計数する手段の計数結果を他ボーダルータに通知する手段と、
他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、
この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段と
を備え、
この集計する手段は、
前記計数結果の所定時間内の増加率を検出する手段と、
この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段と
を備えたことを特徴とするルータ。Connected to an external communication network,
Means for monitoring a TCP-SYN packet including a connection establishment request flowing into the local communication network;
This means of monitoring is
Means for counting the number of TCP-SYN packets having the same destination address;
Means for notifying other border routers of the counting results of the counting means;
Means for receiving a counting result of the counting means from another border router;
Means for counting the counting results based on the counting result in the other border router received by the receiving means and the counting result of the own border router by the counting means;
This means of aggregation is
Means for detecting an increase rate of the counting result within a predetermined time;
A router comprising: means for issuing an alarm including information on the same destination address when a detection result of the means for detecting exceeds a threshold value. 前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、
前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えた
請求項5記載のルータ。The means for counting comprises means for specifying a source address of a TCP-SYN packet having the same destination address that has been tabulated,
6. The router according to claim 5, wherein the means for issuing an alarm comprises means for writing information of a transmission source address specified by the specifying means into the alarm when a detection result of the detecting means exceeds a threshold value. 前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えた請求項5または6記載のルータ。6. The apparatus according to claim 5, further comprising means for suppressing an inflow of a TCP-SYN packet having the same destination address or the source address included in the alarm based on the alarm issued from the means for issuing the alarm into the communication network. Or the router of 6. 前記通知する手段および前記受け取る手段は、I−BGPを用いて前記計数結果を送受信する手段を備えた請求項5記載のルータ。6. The router according to claim 5, wherein the notifying means and the receiving means comprise means for transmitting and receiving the counting result using I-BGP. 情報処理装置にインストールすることにより、その情報処理装置に、
外部通信網に接続されたルータを制御する装置に相応する機能として、
自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する機能を実現させ、
この監視する機能として、
同一宛先アドレスを有するTCP−SYNパケットの個数を計数する機能と、
この計数する機能の計数結果を他ボーダルータに通知する機能と、
他ボーダルータからの前記計数する機能の計数結果を受け取る機能と、
この受け取る機能により受け取った他ボーダルータにおける計数結果および前記計数する機能による自ボーダルータの計数結果に基づき計数結果を集計する機能と
を実現させ、
この集計する機能として、
前記計数結果の所定時間内の増加率を検出する機能と、
この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能と
を実現させることを特徴とするプログラム。By installing on an information processing device,
As a function corresponding to the device that controls the router connected to the external communication network,
Realize the function to monitor TCP-SYN packets including connection establishment requests flowing into the local communication network,
As this monitoring function,
A function of counting the number of TCP-SYN packets having the same destination address;
A function for notifying other border routers of the counting result of the counting function;
A function of receiving a counting result of the counting function from another border router;
Realize the counting result based on the counting result in the other border router received by this receiving function and the counting result of the own border router by the counting function,
As a function of this aggregation,
A function of detecting an increase rate of the counting result within a predetermined time;
And a function for issuing an alarm including information on the same destination address when a detection result of the function to be detected exceeds a threshold value. 前記集計する機能として、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する機能を実現させ、
前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させる
請求項9記載のプログラム。As a function of summing up, realizing a function of specifying a source address of a TCP-SYN packet having the same destination address that has been summed up,
10. The program according to claim 9, wherein, as a function of issuing the alarm, a function of writing information of a transmission source address specified by the specifying function in the alarm when a detection result of the detecting function exceeds a threshold value is realized. 前記警報を発出する機能から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する機能を実現させる請求項9または10記載のプログラム。10. The function of suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network based on the alarm issued from the function of issuing the alarm. Or the program of 10. 前記通知する機能および前記受け取る機能として、I−BGPを用いて前記計数結果を送受信する機能を実現させる請求項9記載のプログラム。The program according to claim 9, wherein a function for transmitting and receiving the counting result using I-BGP is realized as the function to notify and the function to receive. 請求項9ないし12のいずれかに記載のプログラムが記録された前記情報処理装置読取可能な記録媒体。13. A recording medium readable by the information processing apparatus on which the program according to claim 9 is recorded. 複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網に適用される分散型サービス拒絶攻撃(DDOSA:Distributed Denial of Services Attack)検出防御方法において、前記ボーダルータにより、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視し、同一宛先アドレスを有するTCP−SYNパケットの個数を計数し、この計数結果を他ボーダルータに通知するとともに他ボーダルータからの計数結果を受け取り、この受け取った他ボーダルータにおける計数結果および自ボーダルータの計数結果に基づき計数結果を集計し、この計数結果の所定時間内の増加率を検出し、この検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する
ことを特徴とする分散型サービス拒絶攻撃検出防御方法。In a distributed denial of service attack (DDOSA) detection prevention method applied to a communication network having a plurality of border routers respectively connected to a plurality of external communication networks, the border router allows the local communication network to The TCP-SYN packet including the connection establishment request that flows into the network is monitored, the number of TCP-SYN packets having the same destination address is counted, this count result is notified to the other border router, and the count result from the other border router is displayed. The count results are counted based on the received count results of the other border routers and the count results of the own border router, and the rate of increase of the count results within a predetermined time is detected. Distributed denial of service characterized by issuing an alarm containing destination address information Attack detection defense. 集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定し、警報を発出する際には、この特定された送信元アドレスの情報を前記警報に書込む
請求項14記載の分散型サービス拒絶攻撃検出防御方法。15. The distributed type according to claim 14, wherein when a sender address of a TCP-SYN packet having the same destination address is specified and an alarm is issued, information on the specified sender address is written in the alarm. Denial of service attack detection protection method. 発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する請求項14または15記載の分散型サービス拒絶攻撃検出防御方法。The distributed denial-of-service attack detection protection according to claim 14 or 15, wherein a TCP-SYN packet having the same destination address or the source address included in the alarm is prevented from flowing into the communication network based on the issued alarm. Method. 前記ボーダルータ相互間では、I−BGPを用いて前記計数結果を送受信する請求項14記載の分散型サービス拒絶攻撃検出防御方法。The distributed denial-of-service attack detection and protection method according to claim 14, wherein the counting results are transmitted and received between the border routers using I-BGP.
JP2002091785A 2002-03-28 2002-03-28 Communication network, router and distributed denial-of-service attack detection protection method Expired - Fee Related JP3643087B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002091785A JP3643087B2 (en) 2002-03-28 2002-03-28 Communication network, router and distributed denial-of-service attack detection protection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002091785A JP3643087B2 (en) 2002-03-28 2002-03-28 Communication network, router and distributed denial-of-service attack detection protection method

Publications (2)

Publication Number Publication Date
JP2003289337A JP2003289337A (en) 2003-10-10
JP3643087B2 true JP3643087B2 (en) 2005-04-27

Family

ID=29236786

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002091785A Expired - Fee Related JP3643087B2 (en) 2002-03-28 2002-03-28 Communication network, router and distributed denial-of-service attack detection protection method

Country Status (1)

Country Link
JP (1) JP3643087B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4480422B2 (en) * 2004-03-05 2010-06-16 富士通株式会社 Unauthorized access prevention method, apparatus, system, and program
JP4074266B2 (en) 2004-05-26 2008-04-09 株式会社東芝 Packet filtering device and packet filtering program
JP4371905B2 (en) 2004-05-27 2009-11-25 富士通株式会社 Unauthorized access detection device, unauthorized access detection method, unauthorized access detection program, and distributed service disablement attack detection device
JP2006013737A (en) * 2004-06-24 2006-01-12 Fujitsu Ltd Device for eliminating abnormal traffic
JP4392029B2 (en) * 2004-11-11 2009-12-24 三菱電機株式会社 IP packet relay method in communication network
JP4490307B2 (en) * 2005-02-24 2010-06-23 三菱電機株式会社 Network abnormality detection apparatus, computer program, and network abnormality detection method
KR101343693B1 (en) 2007-02-05 2013-12-20 주식회사 엘지씨엔에스 Network security system and method for process thereof
JP5216249B2 (en) * 2007-06-12 2013-06-19 株式会社 ネクストジェン Call control apparatus and call control method
JP2016163180A (en) * 2015-03-02 2016-09-05 日本電気株式会社 Communication system, communication method, and program
JP2019216305A (en) * 2018-06-11 2019-12-19 国立大学法人 東京大学 Communication device, packet processing method, and program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (en) * 1999-08-17 2001-02-27 Yoshimi Baba Cracker monitor system
JP2002073433A (en) * 2000-08-28 2002-03-12 Mitsubishi Electric Corp Break-in detecting device and illegal break-in measures management system and break-in detecting method
JP3731111B2 (en) * 2001-02-23 2006-01-05 三菱電機株式会社 Intrusion detection device and system and router

Also Published As

Publication number Publication date
JP2003289337A (en) 2003-10-10

Similar Documents

Publication Publication Date Title
US7120934B2 (en) System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
US7624447B1 (en) Using threshold lists for worm detection
US7457965B2 (en) Unauthorized access blocking apparatus, method, program and system
WO2016150253A1 (en) Sdn-based ddos attack prevention method, device and system
US8156557B2 (en) Protection against reflection distributed denial of service attacks
US9288218B2 (en) Securing an accessible computer system
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
JP2006517066A (en) Mitigating denial of service attacks
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
Huang et al. Countering denial-of-service attacks using congestion triggered packet sampling and filtering
JP3643087B2 (en) Communication network, router and distributed denial-of-service attack detection protection method
KR100777751B1 (en) Service disabling attack protecting system, service disabling attack protecting method, and service disabling attack protecting program
KR101352553B1 (en) Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic
WO2002025402A2 (en) Systems and methods that protect networks and devices against denial of service attacks
WO2014075485A1 (en) Processing method for network address translation technology, nat device and bng device
JP4602158B2 (en) Server equipment protection system
JP2011151514A (en) Traffic volume monitoring system
JP4278593B2 (en) Protection method against application denial of service attack and edge router
WO2019096104A1 (en) Attack prevention
TWI657681B (en) Analysis method of network flow and system
JP4694578B2 (en) Method and system for protecting a computer network from packet flood
JP2007259223A (en) Defense system and method against illegal access on network, and program therefor
JP2008219149A (en) Traffic control system and traffic control method
JP2006060599A (en) Application service refusal attack defense method, system and its program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050126

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080204

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090204

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090204

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100204

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110204

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110204

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120204

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees